Recentemente la piattaforma per lo sviluppo BerliOS (Berlin Open Source) è stata bucata con successo da un gruppo di hacker ignoti.
La home page è stata rimpiazzata con il messaggio che vedete (parzialmente) in copertina e (completamente) dopo il salto. Un’accusa diretta al responsabile Jörg Schilling per la sua scarsa capacità di amministrazione e di essere già stato “bucato” nel 2005.
Gli attaccanti sono riusciti ad accedere anche ai server svn.berlios.de e download.berlios.de rendendo quindi possibile l’alterazione del codice di qualsiasi progetto presente.
Jörg Schilling ha affermato che da una prima verifica non sembrano ci siano state modifiche e quindi non è necessario avvertire nessuno. Un’affermazione che magari potrebbe spiegare il motivo per cui non è presente alcuna indicazione dell’accaduto sul sito.
Il sottoscritto reputa piuttosto grave che chi non ha saputo garantire la sicurezza del portale ora possa dire che non ci sono problemi e cerchi di insabbiare tutto. Un sito di questo genere dovrebbe avere un politica full disclosure con una notifica immediata del fatto, come è potuto accadere e di cosa verrà fatto per evitare che si ripeta in futuro un fatto simile.
Il messaggio sembra lasciato da white hat e quindi non dovrebbero esserci pericoli, ma se qualcuno di voi ha dei progetti ospitati sul portale sarebbe il caso che li verificasse.
Via | Ostatic
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
mah...
14 gen 2010 - 12:48 - #1se insabbia tutto, white hat o no, la prossima volta un rm -rf / non glielo leva nessuno..
Cetrio
14 gen 2010 - 12:57 - #2Jörg Schilling continua a dimostrarsi per nient’altro che quello che è…
Michelangelo Giacomelli
14 gen 2010 - 14:35 - #3per Cetrio: la prossima volta che devi masterizzare prova a farlo senza i cdrtools e poi vediamo se Schilling ti sta più simpatico.
yourserver
14 gen 2010 - 15:05 - #4Sicuri sti server linux eh???? ihihiih
Cetrio
14 gen 2010 - 15:17 - #5@Michelangelo Giacomelli:
Fortunatamente posso dire di masterizzare senza cdrtools dal 2006 e ne sono felice. Nel caso tu non ne sia consapevole, probabilmente, sei nella mia stessa situazione da anni.
Per chi voglia farsi un’idea può cercare tanti piccoli indizi sul motivo per cui il movimento del software libero non ne sente minimamente la mancanza.
Imperdibile (per capire e divertirsi) la sequenza di email che mandò su LKML nel 2006.
BadTux
14 gen 2010 - 15:23 - #6Per youserver
Io lo aspettavo uno come te… I server sono sicuri quanto la gente che li amministra.
Per farti tornare nascosto dietro alla tastiera da cui scrivi ti informo che quelle macchine sono solaris, non linux.
Concordo abbondantemente con Cetrio…
Michelangelo Giacomelli
14 gen 2010 - 16:34 - #7Io uso cdrkit ma è comunque un software nato come un fork di cdrtools; ricordo che il cambio di licenza generò molte polemiche ma questo astio non lo condivido alla fine per anni si è masterizzato con cdrtool, quindi non va sminuito il lavoro di Schilling.
Beh magari come amministratore di server questa volta ha fatto un errore (come abbandonare la gpl per cdrtools) ma i servizi di berlios sono stati ripristinati in un tempo ragionevolmente breve.
Alla fine l’unica vera toppata è minimizzare l’accaduto ma nessuno amministratore farebbe pubblicità ad una falla scoperta sui propri server.
Cetrio
14 gen 2010 - 16:47 - #8@Michelangelo Giacomelli:
Non ha fatto *un* errore solo come amministratore di sistema. Lo ha fatto più volte sia come amministratore di sistema (male per chi ha scelto malauguratamente di usarlo come servizio) sia come programmatore (male per la comunità che all’inizio lo seguiva).
Vai a leggerti quello che ha scritto, per esempio, sulla LKML. Se ti capiterà di parlarci una volta probabilmente cambierai idea.
Michelangelo Giacomelli
14 gen 2010 - 17:47 - #9immagino che tu ti riferisca alla questione ata e scsi quando voleva popola re /dev come pareva a lui. (o meglio in realtà voleva un’interfaccia unificata ide-scsi per i masterizzatori); più o meno quando rispondeva a tutti “voi non sapete di che state parlando” (ci mancava solo che dicesse voi non sapete chi sono io.)
Va bè un personaggio un pò eccentrico alla fine :)
Khamel
14 gen 2010 - 19:46 - #10in parte concordo con Cetrio,ma purtroppo i bambini che non sanno rispettare il lavoro altrui e che si credono degli “acer” esistono
marco__
14 gen 2010 - 21:23 - #11ciao, ma qualcuno mi puo’ riassumere in poche righe per quale motivo quel tizio e’ cosi’ tanto incacchiato con quel tizio? :D
grazie ciao!
Michelangelo Giacomelli
15 gen 2010 - 10:25 - #12Per marco: credo che Cetrio nutra un pò di astio per Schilling perché costrinse il team debian a fare un fork dei cdrtools, perché aveva cambiato la licenza da gpl ad un altra open ma incompatibile con gpl, quando le persone gli facevano notare la cosa abbaiava con tutti e diceva che la usa interpretazione della licenza era l’unica giusta, inoltre si lamentava di un bug di linux (inesistente) perché i dispositivi pata erano sotto /dev/hdX mentre gli scsi sotto /dev/sgX, Schilling chiedeva una certa uniformità con toni leggermente aggressivi, più o meno rispondeva a tutti: “te non hai capito il problema”.
marco__
15 gen 2010 - 17:32 - #13grazie mille :)
bruno1976
16 gen 2010 - 11:46 - #14Premettendo la mia scarsa preparazione specifica, forse il tale non aveva tutti i torti perchè ormai alcune distro lavorano come chiedeva lui anche i pata sono considerati sda e non più hda…